یکی از روشهای متداول برای ایجاد دسترسی به اینترنت در مکانهای عمومی مانند کافی شاپها، هتلها، فرودگاهها و … استفاده از HotSpot عمومی است. مفهوم HotSpot در اینجا متفاوت از معنای آن در گوشیهای موبایل میباشد. در گوشیهای موبایل نیز امکان ایجاد hotspot خصوصی که به آن Tether نیز میگویند وجود دارد. استفاده از میکروتیک برای راه اندازی hotspot بسیار متداول شده است و اکثر هتلها و مکانهای عمومی در کشور از تجهیزات میکروتیک برای این کار استفاده میکنند.
روال کار hotspot معمولا به این صورت است:
1- به کاربر اجازه وصل شدن به شبکه وایرلس را بدون داشتن هیچ گونه رمز عبوری میدهد. (هیچ گونه احراز هویتی برای اتصال WiFi وجود ندارد)
2- کاربر به یک صفحه لاگین هدایت میشود تا نام کاربری و کلمه عبور خود را برای دسترسی به اینترنت وارد کند. این نام کاربری و کلمه عبور به روشهای مختلفی میتواند در اختیار کاربر قرار بگیرد. به عنوان مثال در یک هتل توسط قسمت پذیرش هتل در اختیار مهمانان قرار میگیرد. یا در یک فرودگاه ممکن است با وارد کردن شماره موبایل رمز عبور برای شما پیامک شود و یا روشهای دیگری که بستگی به نیاز شما دارد.
3- کاربر پس از وارد کردن نام کاربری و رمز عبور به نحوی که ما میخواهیم به اینترنت دسترسی خواهد داشت. (با سرعت، حجم و زمانی که ما برایش تعریف میکنیم)
4- این امکان نیز وجود دارد که اجازه دسترسی کاربران به سایتهای خاصی را بدون انجام احراز هویت بدهیم. (استفاده از walled garden)
برای پیکربندی hotspot باید تنظیمات مربوطه به آدرس IP و routing را به طور مناسب انجام داده باشید به نحوی که از روی روتر دسترسی به اینترنت داشته باشید. در صورتی که قصد دارید hotspot را بر روی کارت شبکه وایرلس روتر فعال کنید باید این واسط را در حالت ap bridge قرار دهید، تنظیمات مربوط به کانال و … را انجام دهید و SSID مناسب را تعریف کنید.
نکته: معمولا شبکه وایرلس مربوطه به hotspot را به صورت open تعریف میکنند و برای اتصال به آن نیازی به password نیست.
برای پیکربندی hotspot در میکروتیک از منوی IP گزینه Hotspot را انتخاب کنید. در پنجره باز شده در تب Servers بر روی دکمه Hotspot Setup کلیک کنید تا wizard مربوطه به پیکربندی hotspot باز شود.
در اولین پنچره interfaceی که میخواهید hotspot را بر روی آن فعال کنید انتخاب کنید. معمولا واسط وایرلس (wlan) را برای این کار انتخاب میکنیم.
در پنجره بعدی باید آدرسی IPی که میخواهید بر روی واسط hotspot قرار گیرد را مشخص کنید. در صورتی که قبلا بر روی کارت شبکه وایرلس روتر آدرسی را ست کرده باشید میکروتیک همان آدرس را پیشنهاد میدهد. در صورتی که کارت شبکه وایرلس دارای آدرس نباشد میکروتیک آدرس 10.5.50.1/24 را برای آن در نظر میگیرد و این آدرس را بر روی کارت شبکه وایرلس روتر ست میکند. با زدن تیک گزینه Masquerade Network میکروتیک rule مربوطه برای انجام source nat محدوده آدرسهای hotspot را مینویسد.
در پنجره بعدی باید محدوده آدرسهایی (address pool) که برای کاربران در نظر گرفته اید را مشخص کنید. میکروتیک به طور خودکار یک address pool در قسمت ip->pool برای محدوده آدرسهایی که اینجا تعریف میکنید ایجاد میکند.
در صورتی که بخواهید ارتباط بین کلاینت و روتر hotspot برای وارد کردن نام کاربری و رمز عبور امن باشد و نام کاربری و کلمه عبور توسط SSL محافظت شوند، میتوانید از یک گواهی SSL معتبر در این قسمت استفاده کنید. در این حالت صفحه لاگین برای کاربران به جای HTTP از پروتکل HTTPS استفاده خواهد کرد. برای احراز هویت کاربران نیز به جای HTTP CHAP از HTTPS استفاده خواهد شد.
نکته: در صورتی که certificate شما توسط یک CA معتبر sign نشده باشد کاربر هشداری مبنی بر نا معتبر بودن گواهی SSL صفحه لاگین روتر دریافت میکند.
در صورت داشتن SMTP سرور در شبکه میتوانید آدرس آن را در پنجره زیر وارد کنید. این کار باعث میشود درخواستهای SMTP کاربران به سمت این سرور هدایت شود. وارد کردن 0.0.0.0 به معنی عدم نیاز به redirect است.
آدرس سرورهای DNSی که میخواهید به مشترکین داده شود در این پنجره مشخص میکنید.
در پنجره زیر باید یک نام به صورت FQDN برای hotspot server در نظر بگیرید.
در پنجره زیر میتوانید یک یوزر لوکال برای hotspot تعریف کنید. (منظور از لوکال در اینجا تعریف یوزر بر روی خود روتر است و در مقابل تعریف یوزر بر روی سرور RADIUS قرار دارد)
با نمایش پنجره زیر کار پیکربندی hotspot به پایان میرسد.
از منوی IP گزینه DNS را انتخاب کنید و در پنجره باز شده مانند شکل زیر تیک گزینه Allow Remote Requests را بزنید. با انجام این کار روتر شما قادر خواهد بود به درخواستهای DNS مانند یک DNS سرور جواب دهد.
wizard تنظیماتی را به صورت خودکار برای ما انجام داده است. بخشی از این تنظیمات در پنجره مربوط به تنظیمات hotspot است که در قسمت “تنظیمات تکمیلی” همین مطلب به آنها اشاره میکنیم. بخش دیگری از این تنظیمات در قسمتهایی غیر از hotspot صورت میگیرد که بخشی از این تنظیمات را نیز در ادامه مشاهده میکنید.
میکروتیک فایلهای مربوطه به صحفات وب را در قسمت File (همان FTP سرور میکروتیک) ذخیره میکند. شما میتوانید این فایلها را بنا بر نیاز خود ویرایش کنید.
آدرس IPای که در هنگام تنظیم hotspot در نظر گرفته بودید، به صورت خودکار بر روی واسط شبکه وایرلس (واسطی که hotspot را بر روی آن کانفیگ کردید) ست میشود.
برای محدوده آدرسهای hotspot یک pool آدرس به صورت خودکار ایجاد میشود که از مسیر IP–>Pool قابل مشاهده است.
بر اساس نامی که برای روتر در زمان تنظیمات hotspot در نظر گرفتید یک رکورد DNS نوع A به صورت خودکار در قسمت رکوردهای استاتیک DNS سرور میکروتیک ایجاد میشود. برای دیدن این رکورد گزینه IP–>DNS را انتخاب کنید. در پنجره باز شده بر روی دکمه Static کلیک کنید.
یک queue به صورت خودکار بر روی واسطی که hotspot را بر روی آن فعال کردهاید ایجاد میشود. به صورت پیش فرض محدودیتی برای این queue در نظر گرفته نمیشود. شما میتوانید بعدا محدودیت دلخواه خود را ست کنید. (در قسمت تنظیمات تکمیلی چگونگی انجام این کار را شرح دادهایم)
پس از پیکربندی hotspot تعدادی rule در تب filter فایروال به صورت خودکار اضافه میشود. این ruleها مانع دسترسی کاربر به اینترنت قبل از انجام احراز هویت میشوند.
پس از پیکربندی hotspot تعدادی rule در تب NAT فایروال نوشته شدهاند. این ruleها ترافیک کاربر را قبل از احراز هویت به سمت صفحه لاگین hotspot که بر روی میکروتیک قرار دارد هدایت میکنند.
در صورتی که بخواهید کاربران بدون نیاز به احراز هویت تنها با وصل شدن به شبکه شما امکان دسترسی به بعضی از سایتها (با استفاده از پروتکلهای HTTP و HTTPS) را داشته باشند میتوانید این سایتها را در قسمت walled garden تعریف کنید. به عنوان مثال در شکل زیر ما امکان دسترسی به سایت networkdream.ir را برای کاربران فراهم کردهایم.
نکته: تب Walled Garden برای فراهم آوردن دسترسی بدون احراز هویت برای پروتکلهای HTTP و HTTPS کاربرد دارد. برای سایر پروتکلها باید از تب Walled Garden IP List استفاده کرد.
در صورتی که بخواهید برای کل سرویس hotspot محدودیت پهنای باند ست کنید میتوانید در قسمت Server Profile پروفایل مورد نظر خودتان را ویرایش کنید و مقداری برای گزینه Rate Limit ست کنید. به عنوان مثال در شکل زیر ما پهنای دانلود و آپلود مربوط به سرویس هات اسپات را بر روی 10 مگابیت بر ثانیه محدود کردهایم.
با انجام کار بالا queue ساخته شده برای سرویس hotspot دیگر unlimited نخواهد بود و محدودیت 10 مگ را بر روی کارت شبکه وایرلس اعمال میشود.
در صورتی که بخواهید برای تک تک کاربران محدودیت پهنای باندی را ست کنید، امکان انجام این کار از طریق User Profile وجود دارد. به عنوان مثال ما برای اینکه برای هر کاربر محدودیت 1 مگابیت بر ثانیه را اعمال کنیم مقدار Rate Limit را مانند شکل زیر ویرایش کردهایم.
پس از انجام تغییرات بالا در صورتی که کاربری به hotspot لاگین کند محدودیت ست شده برای آن کاربر مشابه شکل زیر اعمال میشود.
در صورتی که بخواهید برای کاربری محودیت زمان استفاده از اینترنت و یا محدودیت حجم در نظر بگیرید میتوانید در تب Users بر روی نام آن کاربر کلیک کنید. در پنجره باز شده در تب Limit امکان ست کردن این محدودیتها مانند شکل زیر وجود دارد.
برای بررسی درستی تنظیمات از طریق موبایل یا لپ تاپ SSID مربوطه به شبکه وایرلس (برای ما NetworkDream) میکروتیک را پیدا کرده و به آن وصل شوید. برای وصل شدن نیازی به پسورد نیست. پس از وصل شدن به صورت خودکار به صفحه لاگین hotspot منتقل میشوید. در این صفحه با وارد کردن نام کاربری و پسورد لاگین کنید.
در صورتی که تنظیمات را به درستی انجام داده باشید و کاربر موفق به لاگین کردن شود، مشخصات کاربری که لاگین کرده است در تب Active و مشخصات وسیلهای که کاربر با آن لاگین کرده است در تب Hosts قابل مشاهده است.
پس از لاگین کردن کاربر یک cookie به صورت خودکار برای کاربر در تب Cookies ایجاد میشود تا کاربر در صورتی که از شبکه قطع و دوباره وصل شود نیازی به انجام مجدد احراز هویت نداشته باشد.
– امکان ارائه اینترنت بدون نیاز به احراز هویت برای مدت زمان محدود از طریق ویژگی trial
– ریست کردن خودکار محدودیتهای ست شده برای یک کاربر خاص و یا کل کاربران از طریق نوشتن اسکریپت و زمان بندی کردن آن اسکریپت
/ip hotspot user reset-counters [find name="alireza"]
or
/ip hotspot user reset-counters
/system scheduler add interval=1d name="RESET HOTSPOT COUNTERS" on-event="/ip hotspot user reset-counter" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=feb/01/2020 start-time=23:59:00– انجام احراز هویت کاربران از طریق سرور RADIUS
– ویرایش صفحه لاگین پیش فرض
3 پاسخ
سلام ساعتهای زیادی انواع فیلمها و دستورالعملها رو در اینترنت دیدم ولی هیچکدوم برای haplite کار نمی کرد
حتی کد نویسی کردم تو scheduler زمان قطع و وصل برای rule فایروال گذاشتم . کار نمی کرد که نمی کرد
ولی اینقدر این مطلب شما راحت انجام شد .وقتی تست کردم خودم باورم نمیشد مدام کانتر رو ریست می کردم و دوباره وصل میشدم .
فقط می تونم تشکر کنم و بگم واقعا دست مریضا
خیلی خوشحالم که این مطلب براتون مفید بوده
سلام
ممنون بابت مطالب خوبتون
من روی vmeare میکروتیک رو بالا آوردم
و از این طریق هات اسپات رو کانفیگ کردم
ولی صفحه لاگین رو برام نمیاره و خطای dns میده
ممنون میشم راهنمائیم کنید .